Columna de Fernanda Garcés: Desafíos de la nueva ley de protección de datos personales
El proyecto de ley que regula la protección y el tratamiento de los datos personales está a un paso de convertirse en realidad. La comisión mixta finalmente resolvió los puntos controvertidos que se encontraban pendientes, y solo queda que ambas salas del Congreso Nacional se pronuncien a favor de dicha propuesta. De ser así, la nueva legislación se posicionará entre aquellas más modernas, siguiendo de cerca el contenido del Reglamento Europeo.
Más allá de la satisfacción general que existe en el ambiente por este gran logro y avance, tomando en consideración lo obsoleta que se encuentra la ley N° 19.628 sobre Protección de la Vida Privada, se plantean diversos desafíos tanto para el aparato estatal como para los responsables del tratamiento de datos personales.
Para la Administración, la instalación y el correcto ejercicio de las atribuciones de la nueva Agencia de Protección de Datos Personales supone en sí mismo un enorme desafío, al ser la primera institucionalidad creada especialmente para velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales, así como de fiscalizar el cumplimiento de la nueva ley. El cumplimiento de dichos objetivos se da, además, en un escenario en que deberá existir una debida coordinación con las otras agencias que están relacionadas como son la Comisión para el Mercado Financiero, el Sernac y la próxima Agencia Nacional de Ciberseguridad, para evitar así incurrir en duplicidades y contiendas de competencia.
Para los responsables del tratamiento de datos personales se plantea un escenario de grandes transformaciones, no solo por las nuevas obligaciones y estándares a los cuales quedan sujetos, sino que, principalmente, por el desafío que supone ser capaces de levantar un diagnóstico claro respecto de cuáles son los datos que tratan, sus fuentes de licitud, proporcionalidad, finalidad y caducidad. Solo entonces se podrá pensar en cumplir adecuadamente con la normativa aplicable, en un complejo contexto de variadas cargas regulatorias, manejo de presupuestos limitados y una conciencia de cumplimiento aún en desarrollo, en muchos casos.
En tal sentido, y dependiendo del tamaño del responsable del tratamiento, se debe trabajar en implementar una gobernanza de datos que permita al responsable la gestión y control de los datos personales y, de tal forma, garantizar su calidad, cantidad y seguridad, determinando roles y responsabilidades, así como políticas y normativas internas. Asoma en ese contexto una herramienta fundamental, cuya adopción es voluntaria para los responsables de datos, como lo es el modelo de prevención de infracción, que les permitirá contar con un atenuante de responsabilidad y, sobre todo, instalar una cultura de cumplimiento en su organización.
Si bien la nueva ley tendrá un período de vacancia de dos años, a diferencia de lo que puedan pensar algunos, se trata de un plazo muy acotado y que supone iniciar desde ya la adopción de las medidas necesarias para asumir los desafíos señalados.
Por Fernanda Garcés, directora de Escuela, Facultad de Derecho, Universidad San Sebastián